Glossar · Cloud-Architektur Cloud-Souveränität
Die architektonische und rechtliche Eigenschaft von Cloud-Infrastruktur, die sicherstellt, dass Daten, Betrieb und Kontrolle in der Zuständigkeit eines bestimmten Landes oder einer Region — typischerweise der EU — bleiben.
## Was Cloud-Souveränität tatsächlich bedeutet
Cloud-Souveränität ist die Anwendung der Konzepte [Datensouveränität](/de/glossary/data-sovereignty/) und [Digitale Souveränität](/de/glossary/digital-sovereignty/) speziell auf Cloud-Infrastruktur. Eine Cloud ist „souverän" gegenüber einer Gerichtsbarkeit, wenn:
1. Die Cloud-Infrastruktur sich physisch in dieser Gerichtsbarkeit befindet
2. Die Cloud von Einrichtungen betrieben wird, die in dieser Gerichtsbarkeit (oder in Gerichtsbarkeiten mit gleichwertigem Rechtsschutz) eingetragen sind
3. Externe Gerichtsbarkeiten nicht rechtlich Offenlegung von Daten, Betrieb oder Zugriff erzwingen können
Speziell für europäische Cloud-Souveränität ist die dritte Bedingung die kritische — und hier scheitern US-ansässige Cloud-Anbieter strukturell aufgrund des [CLOUD Act](/de/glossary/cloud-act/).
## Die vier Souveränitätsstufen
Europäische Cloud-Souveränität ist nicht binär. Sie existiert auf einem Spektrum:
### Stufe 0: Keine Souveränität
Standard-Public-Cloud (AWS, Azure, GCP) ohne spezifische EU-Konfiguration. Daten können weltweit gespeichert werden; volles US-Rechtsrisiko.
### Stufe 1: EU-Datenresidenz
US-ansässige Cloud mit ausdrücklicher Konfiguration, um Daten in EU-Regionen zu halten. Besser als Stufe 0, aber adressiert Rechtszwang via CLOUD Act nicht.
Dies ist, was Microsoft als „EU Data Boundary" vermarktet. Nützlich für allgemeine Geschäfts-Workloads, aber rechtlich unzureichend für höchste Souveränitätsanforderungen.
### Stufe 2: EU-ansässige Cloud
Cloud, die von EU-ansässigen Einrichtungen ohne US-Konzernkontrolle betrieben wird. CLOUD Act gilt nicht (Einrichtung ist nicht US-basiert). Daten sind in EU-Gerichtsbarkeit, kontrolliert von EU-Einrichtung, kein externer Zwangsweg.
Beispiele: [Hetzner](/de/alternativen/hetzner-vs-aws/), [Scaleway](/de/alternativen/scaleway-vs-google-cloud/), [OVHcloud](/de/alternativen/ovhcloud-vs-microsoft-azure/), [Infomaniak](/de/alternativen/infomaniak-vs-digitalocean/), IONOS.
Dies ist die praktische Souveränitätsstufe für die meisten europäischen Unternehmen.
### Stufe 3: Souveräne Cloud (zertifiziert)
EU-ansässige Cloud mit zusätzlichen Zertifizierungen, die ausdrückliche Souveränitätsgarantien bieten:
- **Französische Cloud de Confiance** (Trusted Cloud) — strenge Zertifizierung der französischen Regierung, die keine ausländische rechtliche Kontrolle erfordert
- **Deutsche BSI-C5-souveräne Cloud** — deutsche Cybersicherheitszertifizierung für souveräne Workloads
- **Italienische und andere nationale Souveränitätsrahmen**
Beispiele: Open Telekom Cloud (Deutschland), T-Systems Sovereign Cloud (Deutschland), Outscale (Frankreich, Tochter von Dassault Systèmes), Bleu (Joint Venture Microsoft + Capgemini + Orange für französische souveräne Cloud).
Dies ist die Stufe, die für höchstrelevante Anwendungsfälle erforderlich ist — öffentlicher Sektor, Gesundheitswesen, kritische Infrastruktur, Verteidigung.
## Was „EU-souveräne Cloud"-Behauptungen von US-Anbietern tatsächlich bedeuten
Microsoft, AWS und Google Cloud vermarkten alle „souveräne Cloud"-Angebote für europäische Kunden. Diese variieren erheblich darin, welche Souveränität sie tatsächlich bieten:
**Microsoft EU Data Boundary** — Souveränität Stufe 1. Daten werden in der EU gespeichert und verarbeitet. Microsoft Corporation (US-Mutter) behält Konzernkontrolle. CLOUD Act gilt.
**AWS European Sovereign Cloud** (angekündigt 2023, begrenzter Rollout) — strebt Stufe 2/3 mit separater Betriebseinrichtung an. Umsetzungszeitplan unklar.
**Google Cloud Sovereign Solutions** — variiert je nach Partner. T-Systems Sovereign Cloud Germany wird von der Deutschen Telekom betrieben — bedeutsame Souveränität. Andere Google-Cloud-+-EU-Partner-Kombinationen variieren.
**Bleu (Microsoft + Capgemini + Orange)** — französische souveräne Cloud auf Azure-Technologie, aber als vollständig französische Einrichtung betrieben. Konzipiert, um sich für Stufe 3 / Cloud-de-Confiance-Zertifizierung zu qualifizieren.
Das Muster: US-Anbieter können hohe Souveränitätsstufen technisch durch komplexe Partnerstrukturen erreichen, die operative Einrichtungen von Konzernkontrolle trennen. Diese funktionieren, erfordern aber sorgfältige Prüfung spezifischer vertraglicher und technischer Garantien.
## Wann jede Souveränitätsstufe sinnvoll ist
Für europäische Unternehmen, die Cloud-Architekturentscheidungen treffen:
**Stufe 0 (Standard-Public-Cloud)** — akzeptabel für allgemeine Geschäfts-Workloads ohne spezifische Souveränitätsanforderungen. Beispiele: Marketing-Website-Hosting, öffentlich zugängliche Assets, allgemeine Büroproduktivität.
**Stufe 1 (EU-Datenresidenz)** — akzeptabel für die meisten Geschäfts-Workloads mit allgemeinen DSGVO-Compliance-Anforderungen. Beispiele: kundenseitiges SaaS, interne Kollaborationstools, Geschäftsanwendungs-Hosting.
**Stufe 2 (EU-ansässige Cloud)** — empfohlen für sensible Daten, regulierte Branchen und Unternehmen, bei denen Souveränität ein Wettbewerbsmerkmal ist. Beispiele: gesundheitsnahe Anwendungen, Rechtsdienstleistungen, B2B-SaaS für europäische Unternehmen.
**Stufe 3 (souveräne Cloud)** — erforderlich für öffentlichen Sektor, Verteidigung, stark regulierte Branchen (Banken unter DORA, Gesundheitswesen mit Patientendaten) und jede Organisation mit ausdrücklichen Souveränitätsanforderungen.
Die meisten europäischen Unternehmen agieren auf Stufe 1 mit selektiver Stufe 2 für sensible Workloads. Die strategische Frage ist, ob die Stufe-2-/-3-Präsenz im Lauf der Zeit ausgebaut werden soll.
## Cloud-Souveränität und DORA
DORA (Digital Operational Resilience Act, in Kraft seit Januar 2025) schafft spezifischen Cloud-Souveränitätsdruck für europäische Finanzinstitute:
- **Anforderungen zum Konzentrationsrisiko** — Finanzinstitute können nicht ihre gesamte kritische Infrastruktur bei einem einzigen Cloud-Anbieter haben, was Multi-Cloud-Strategien fördert, die oft EU-ansässige Anbieter einbeziehen
- **Aufsicht über kritische IKT-Drittanbieter** — große Cloud-Anbieter, die mehrere Finanzinstitute bedienen, stehen jetzt unter direkter EU-Regulierungsaufsicht
- **Spezifische Vertragsanforderungen** — DORA schreibt Klauseln vor, an die Standardbedingungen von US-Anbietern typischerweise angepasst werden müssen
Speziell für europäische Fintech hat sich Cloud-Souveränität von Präferenz zu operativer Anforderung verschoben.
## Kostenimplikationen
Höhere Souveränitätsstufen kosten im Allgemeinen mehr, aber die Lücke ist kleiner als allgemein angenommen:
- **Stufe 0 vs. Stufe 1**: minimaler Kostenunterschied (meist Konfiguration)
- **Stufe 1 vs. Stufe 2**: EU-ansässige Anbieter (Hetzner, Scaleway) sind typischerweise *günstiger* als US-Hyperscaler, oft um 50-80%
- **Stufe 2 vs. Stufe 3**: Souveräne-Cloud-Zertifizierungen erhöhen die Kosten, typischerweise 20-50% Aufschlag gegenüber Standard-EU-ansässiger Cloud
Der Übergang Stufe 1 → Stufe 2 ist wirtschaftlich besonders günstig — bessere Souveränität + niedrigere Kosten. Der Übergang Stufe 2 → Stufe 3 kostet mehr, ist aber für bestimmte hochrelevante Anwendungsfälle erforderlich.
Für einen konkreten Kostenvergleich siehe unseren [AWS-vs-EU-Cloud-Kostenrechner](/de/cloud-savings-calculator/).
## Was 2026-2027 bringt
Cloud-Souveränität ist ein aktiver Regulierungs- und technischer Bereich. Beobachten Sie:
- **EU Cloud Certification Scheme (EUCS)** — paneuropäische Cloud-Sicherheits- und Souveränitätszertifizierung, derzeit in Finalisierung
- **Souveränitätsrahmen der Mitgliedstaaten** entwickeln sich weiter (deutsches Cloud-Gesetz 2024, aktualisierte französische Cloud-de-Confiance-Kriterien)
- **DORA-Durchsetzung** klärt Erwartungen an Cloud-Souveränität im Finanzsektor
- **EU AI Act** fügt KI-spezifische Cloud-Souveränitätsüberlegungen hinzu
- **Souveräne KI**, da Cloud-Souveränität sich mit AI-Act-Pflichten überschneidet
Für europäische Unternehmen passt das Behandeln von Cloud-Souveränität als laufende strategische Position statt als einmalige Entscheidung zur Regulierungsrichtung.
War das hilfreich?
Danke für Ihr Feedback!